Cos'è un record SPF DNS?

I record SPF sono un tipo di record TXT DNS comunemente utilizzato per l'autenticazione della posta elettronica. I record SPF includono un elenco di indirizzi IP e domini autorizzati a inviare e-mail da quel dominio.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definisci un record SPF DNS
  • Spiega i vantaggi di un record SPF DNS
  • Comprendi i componenti di un record SPF DNS

Copia link dell'articolo

Cos'è un record SPF DNS?

Un record SPF (Sender Policy Framework) è un tipo di record TXT DNS che elenca tutti i server autorizzati a inviare e-mail da un determinato dominio.

Un record TXT (“text”) DNS consente a un amministratore di dominio di inserire un testo arbitrario nel Domain Name System (DNS). I record TXT sono stati inizialmente creati allo scopo di includere avvisi importanti relativi al dominio, ma da allora si sono evoluti per servire altri scopi.

I record SPF sono stati originariamente creati perché il protocollo standard utilizzato per la posta elettronica, l'SMTP (Simple Mail Transfer Protocol), — non autentica intrinsecamente l'indirizzo "Da" in un'e-mail. Ciò significa che senza SPF o altri record di autenticazione, un utente malintenzionato può facilmente impersonare un mittente e indurre il destinatario ad agire o condividere informazioni che altrimenti non farebbe.

Pensa ai record SPF come a una lista degli invitati gestita da un addetto alla porta. Se qualcuno non è nella lista, l'addetto alla porta non lo farà entrare. Allo stesso modo, se un record SPF non ha l'indirizzo IP o il dominio di un mittente nel suo elenco, il server ricevente (addetto alla porta) non consegnerà quelle e-mail o le contrassegnerà come spam.

I record SPF sono solo uno dei tanti meccanismi basati su DNS che possono aiutare i server di posta a confermare se un'e-mail proviene da una fonte attendibile. Reporting e conformità dell'autenticazione dei messaggi basati sul dominio (DMARC) e DomainKeys Identified Mail (DKIM) sono altri due meccanismi utilizzati per l'autenticazione della posta elettronica.

Vale la pena notare che, a un certo punto, i record SPF avevano un tipo di record DNS dedicato. Da allora il tipo di record dedicato è stato dichiarato obsoleto e devono essere utilizzati solo i record TXT.

In che modo un server di posta controlla un record SPF?

I server di posta seguono un processo relativamente semplice quando controllano un record SPF:

  • Server 1 invia un'e-mail. Il suo indirizzo IP è 192.0.2.0 e il percorso di ritorno utilizzato dall'e-mail è email@returnpath.com. Un indirizzo del percorso di ritorno è diverso dall'indirizzo "Da" e viene utilizzato specificamente per raccogliere ed elaborare i messaggi respinti.
  • Il server di posta che sta ricevendo il messaggio (Server 2) prende il dominio del percorso di ritorno e cerca il suo record SPF.
  • Se Server 2 trova un record SPF per il dominio del percorso di ritorno, cerca nel record SPF l'indirizzo IP del Server 1 nel suo elenco di mittenti autorizzati. Se l'indirizzo IP è elencato nel record SPF, il controllo SPF viene superato e l'e-mail passerà. Se l'indirizzo IP non è elencato nel record SPF, il controllo SPF ha esito negativo. In questo caso, l'e-mail verrà rifiutata o contrassegnata come spam.

Che aspetto ha un record SPF?

I record SPF devono seguire determinati standard affinché il server capisca come interpretarne il contenuto. Ecco un esempio dei componenti principali di un record SPF:

v=spf1 ip4=192.0.2.0 ip4=192.0.2.1 include:examplesender.email -all

Questo esempio consente al server di sapere di che tipo di record si tratta, indica gli indirizzi IP approvati e una terza parte per questo dominio e indica al server cosa fare con le e-mail non conformi. Analizziamo come funzionano i singoli componenti:

  • v=spf1 dice al server che contiene un record SPF. Ogni record SPF deve iniziare con questa stringa.
  • Quindi viene la parte "lista degli ospiti" del record SPF o l'elenco degli indirizzi IP autorizzati. In questo esempio, il record SPF dice al server che ip4=192.0.2.0 e ip4=192.0.2.1 sono autorizzati per inviare le e-mail per conto del dominio.
  • include:examplesender.net è un esempio del tag include, che indica al server quali organizzazioni di terze parti sono autorizzate a inviare e-mail per conto del dominio. Questo tag segnala che il contenuto del record SPF per il dominio incluso (examplesender.net) dovrebbe essere controllato e anche gli indirizzi IP in esso contenuti dovrebbero essere considerati autorizzati. È possibile includere più domini in un record SPF, ma questo tag funzionerà solo per domini validi.
  • Infine, -all comunica al server che gli indirizzi non elencati nel record SPF non sono autorizzati a inviare e-mail e devono essere rifiutati.
    • Le opzioni alternative includono ~all, che afferma che le e-mail non in elenco verranno contrassegnate come non sicure o spam ma ancora accettate e, meno comunemente, +all, il che significa che qualsiasi server può inviare e-mail per conto del tuo dominio.

Sebbene l'esempio utilizzato in questo articolo sia abbastanza semplice, i record SPF possono essere certamente più complessi. Ecco alcune cose da tenere a mente per garantire che i record SPF siano validi:

  • Non può esserci più di un record SPF associato a un dominio.
  • Il record deve terminare con il componente all o includere un componente redirect: (che indica che il SPF è ospitato su un altro dominio).
  • Un record SPF non può contenere caratteri maiuscoli.

Consulta la documentazione ufficiale dei record SPF per ulteriori informazioni.

Perché vengono utilizzati i record SPF?

Ci sono molte ragioni per cui gli operatori di dominio utilizzano i record SPF:

  • Prevenzione degli attacchi: se le e-mail non vengono autenticate, le aziende e i destinatari delle e-mail sono a rischio di attacchi di phishing, e-mail di spam e spoofing di e-mail. Con i record SPF, è più difficile per gli aggressori imitare un dominio, riducendo la probabilità di questi attacchi.
  • Miglioramento della distribuzione di e-mail: i domini senza un record SPF pubblicato potrebbero far rimbalzare le loro e-mail o essere contrassegnati come spam. Nel tempo, le e-mail respinte o contrassegnate come spam possono compromettere la capacità di un dominio di raggiungere le caselle di posta del pubblico, compromettendo gli sforzi per comunicare con clienti, dipendenti e altre entità.
  • Conformità DMARC: DMARC è un sistema di convalida e-mail che aiuta a garantire che le e-mail vengano inviate solo da utenti autorizzati. I criteri DMARC determinano cosa devono fare i server con le e-mail che non superano i controlli SPF e DKIM. In base alle istruzioni della politica DMARC, tali e-mail verranno contrassegnate come spam, rifiutate o consegnate normalmente. Gli amministratori di dominio ricevono rapporti sulla loro attività di posta elettronica che li aiutano ad apportare modifiche alla loro politica.

The Cloudflare Email Security DNS Wizard makes it simple to set up the correct DNS TXT records and block spammers from using a domain. Read more about the Wizard here.

Scopri di più sui record DNS per la posta elettronica: